Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

18.04.2006

Datenschutzpanne bei DSL on Air

Über die Homepage eines Spezialangebots der Deutschen Breitbanddienste GmbH (DBD) waren Personendaten für jedermann einzusehen.

Von CW-Redakteur Martin Seiler

Als einen "unglücklichen Vorfall" bezeichnet eine Sprecherin der DBD die Datenschutzpanne, die nur durch einen Zufall ans Licht kam: Über die Web-Seiten des DBD-Angebots DSL on Air ließen sich umfangreiche Informationen über Personen abrufen, die die Freischaltung der DSL-Alternative beantragt hatten.

Ohne Spezialkenntnisse und nur mit Hilfe eines Browsers war es bis vor wenigen Tagen möglich, via Internet etliche Datensätze mit detaillierten Angaben wie Name, Vorname, Anschrift, E-Mail-Adresse, Geburtsdatum, Telefonnummer, Kennwort und Bankverbindung einzusehen. Wie ein Zeuge gegenüber der computerwoche berichtet, handelte es sich um "über 5000 Datensätze", die frei zugänglich waren. Daneben ließen sich Angaben zu Vertriebspartnern sowie interessierten Kooperationspartnern von DSL on Air abfragen und sogar bearbeiten. Das geht auch aus Screenshots hervor, die der computerwoche vorliegen.

Versäumnisse bei Umstellung

DSL on Air bietet Interessenten via WLAN und Wimax einen schnellen Web-Zugang an und versteht sich als Alternative zu kabelgebundenen DSL-Diensten. Das Unternehmen ist vor allem dort erfolgreich, wo breitbandige DSL-Anschlüsse nicht verfügbar sind.

Zu der Panne kam es nach Angaben des Unternehmens im Zuge der Umstellung des Auftrags-Managements und der Einführung einer Datenbankarchitektur "mit Verschlüsselung und erhöhten Sicherheitsmerkmalen". Dabei habe man es aber "leider versäumt, die Vorgängerversion der temporären Interessenten-Datenbank zu entfernen". So sei es möglich gewesen, dass Vertriebspartner Auftragsdaten noch in das alte System geschrieben hätten.

Diese Schluderei steht in krassem Widerspruch zur Datenschutzerklärung des Unternehmens, in der es seinen Kunden verspricht, "verantwortungsbewusst mit Ihren Daten umzugehen". Dort beteuert der Breitbandanbieter auch, "Daten vertraulich sowie entsprechend den Bestimmungen des Datenschutzrechts" zu behandeln. Doch dessen Bestimmungen wurden hier sträflich missachtet. Im Datenschutzgesetz heißt es etwa, dass ein Unternehmen, das personenbezogene Daten "unter Einsatz von Datenverarbeitungsanlagen" erhebt, verarbeitet oder nutzt, diese entsprechend schützen muss. Fortsetzung auf Seite 4

Das kann zum Beispiel geschehen, indem die Informationen verschlüsselt werden. Dies war bei DSL on Air nicht der Fall. Hartmut Pohl, Professor am Institut für Informationssicherheit (Isit) der Fachhochschule Bonn-Rhein-Sieg, sieht daher in dem Vorfall einen "klaren Verstoß gegen das Datenschutzgesetz".

Schadensbegrenzung

DBD versucht indes, die Bedeutung der Panne herunterzuspielen: Es habe sich um "keine aktive Kundendatenbank" gehandelt, sondern um eine "Interessentendatenbank potenzieller DSL-on-Air-Kunden", die seit Ende Januar 2006 "nicht mehr operativ" sei. Sie habe lediglich Informationen enthalten, die Interessenten für die Dienste in ein "Anmeldeformular" eingeben konnten. Dem widerspricht jedoch, dass die der computerwoche vorliegenden Datensätze nicht nur Auftragsnummern und das Auftragsdatum enthalten, sondern auch Angaben zum gewünschten Dienst und dem Händler, über den die Schaltung erfolgt.

Laut DBD wurden die Vertriebspartner Ende Januar aufgefordert, "den alten Link zur Interessentenanmeldung nicht mehr zu benutzen". Der Anbieter räumt jedoch "irrtümlich eingegebene Einzelfälle" ein, die aber "auf keinen Fall zu einer automatisierten Weiterverarbeitung" geführt hätten. Daher bezeichnet eine DBD-Sprecherin die Auswirkungen des Vorfalls als "unkritisch". Außerdem verteidigt sich das Unternehmen damit, es habe sich bei den betroffenen Personen noch nicht um echte Kunden gehandelt: Dazu würden sie erst mit dem Anschluss eines Endgerätes für den DSL-on-Air-Betrieb. Das dürfte im Sinne des Datenschutzgesetzes jedoch keine Rolle spielen.

Der Missstand war von einer Privatperson zufällig entdeckt worden, die über einen Link in einem Forum auf die Web-Seite von DSL on Air kam. Durch einfaches Löschen eines Dateinamens innerhalb der in der Adressleiste des Browsers angezeigten URL landete er in einem Verzeichnis, von wo aus dann auch der Zugriff auf die kritischen Daten möglich war.

Späte Information

Eine betroffene Person, deren Daten einsehbar waren, reagierte gegenüber der computerwoche schockiert und äußerst verärgert. Inzwischen hat das Unternehmen sich immerhin dazu entschlossen, die Datenbanken abzugleichen und "eine Kundeninformation zu versenden". Laut dem Bundesbeauftragten für den Datenschutz können Betroffene nur zivilrechtliche Schritte ergreifen. Rechtliche Konsequenzen erwartet der Breitband-Provider eigenen Angaben zufolge jedoch nicht.